Уязвимости InTerra Blog Machine
Уязвимости InTerra Blog Machine Name : InTerra Blog Machine
Site : Dull.ru
Version : 1.70
Dork : "Powered by InTerra Blog Machine"
Существует хсс, но "раскрутить" до конца не получается, так как жестко фильтруется:
lib\safehtml\classes\safehtml.php
PHP код:
// dangerous protocols
var $BlackProtocols = array("javascript", "vbscript", "about", "wysiwyg", "data", "view-source", "ms-its", "mhtml", "shell", "lynxexec", "lynxcgi", "hcp", "ms-help", "help", "disk", "vnd.ms.radio", "opera", "res", "resource", "chrome", "mocha", "livescript", );
Вообщем вот до чего дошол: (Добавление комент.)
Код:
<a href=`http://xek.comd" onclick='overflow'><i>wtf?<a style='font-size:30px; color:red;'>hekked</a></i>
А всё потому, что в actions\addcomment.php
PHP код:
//prepare contents
$comment = strip_tags($_POST['comment'],"<a>,<i>,<b>");
Разрешины три тэги, но клас safehtml всё отрубает. Просьба кто будет смотреть присмотреться к етой хсс, возможна ли она там вообще.
Авторизация. Подмена сесии.
Всё гениально: :D
PHP код:
//check access
if(!$_SESSION['admin']){
header("Location: " . SERVER_ROOT);
exit;
}
Собственно идем в /tmp
создаем сесию, права 0777:
sess_aaec41a3b692b6be0dc292e40b778595
Ну и вбиваем куку в браузере.
Цитата:
PHPSESSID=aaec41a3b692b6be0dc292e40b778595
|
После авторизации
Цитата:
http://127.0.0.1/interra/filemanager/
|
И заливаем шелл. Проверки нет (:
lib\uploader.class.php
PHP код:
function copyFile($name,$destination){
if(!$result = move_uploaded_file($name,$destination)){
$result = copy($name,$destination);
}
return $result;
}
Грузится в
Цитата:
http://127.0.0.1/interra/files/shell.php
|
|
